DNS Hijacking

Una amenaza cibernética que muchos consideran una cosa del pasado ha visto su resurrección en los últimos meses.

A principios del 2019, vimos informes sobre campañas generalizadas de secuestro de DNS dirigidas a Medio Oriente y África del Norte con algunas en Europa y los EE. UU. Esto fue seguido por información sobre ataques de secuestro de DNS dirigidos a enrutadores domésticos y sitios web de phishing que imitan a Netflix, PayPal, Uber, Gmail y más.

Vamos a explorar una nueva y recurrente amenaza para tu red. Analizaremos más a fondo qué es el secuestro de DNS o DNS Hijacking, qué hace que DNS sea tan susceptible a este tipo de ataques y cómo puede descubrir el secuestro de DNS antes de que cause algún daño.

¿Qué es DNS Hijacking?

La mayoría de las solicitudes de DNS no están encriptadas, y esto crea un problema y un espacio para interceptar solicitudes de atacantes maliciosos. Hemos tocado el DNS y los problemas con la privacidad, pero veamos cómo y por qué se realiza el secuestro de DNS.

El secuestro de DNS, también conocido como redirección de DNS , es un método de ataque de DNS en el que los atacantes intentan resolver incorrectamente tus consultas de DNS y redirigir tu tráfico a un sitio web malicioso.

Mientras tu navegador resuelve una URL, un servidor falso configurado por los atacantes enviará a tu dispositivo una dirección IP falsa que pertenece a su sitio web malicioso, con la esperanza de engañarte para que uses la versión no autorizada del sitio web al que deseas acceder.

Estos son a menudo sitios web donde los usuarios ingresan sus datos confidenciales, lo que permite a los atacantes robar sus datos.

Uso

Hay un par de formas en que se utiliza el secuestro de DNS.

Uno de ellos es para pharming. Pharming es un tipo de ataque que redirige el tráfico del sitio web a uno malicioso. Esto se hace manipulando la computadora del usuario, cambiando el archivo host o explotando el servidor DNS. Un ejemplo de pharming es cuando estás en Internet y un sitio web al que deseas acceder te redirige a uno malicioso lleno de pop-ups y anuncios no deseados. El motivo principal detrás de pharming es generar ingresos.

El secuestro de DNS también se puede usar para phishing. En el phishing, las víctimas son atacadas y los atacantes intentan engañarlas para que revelen información confidencial, como sus credenciales de pago. El escenario más común que vemos en el phishing es enviar un correo electrónico como cebo, dirigiendo a los usuarios a un sitio web que parece ser legítimo de procesamiento de pagos, y desde allí, robar su información. Si sospechas que se estás utilizando un dominio para phishing, ten en cuenta que puedes detectar fácilmente dominios de phishing utilizando DNS pasivo.

Los ISP también realizan un tipo de secuestro de DNS. Si bien esto no es tan peligroso como los atacantes que realizan el secuestro de DNS, sigue siendo algo que puede hacer que las personas se sientan menos seguras y pone en riesgo su privacidad.

Los ISP se hacen cargo de sus consultas DNS y recopilan datos para que, a su vez, puedan ofrecerte anuncios mientras intentas acceder a un dominio no existente. Esto no es peligroso per se, pero si esos sitios web y anuncios son maliciosos, se podría presentar un riesgo de seguridad.

Ejemplo

Una de las campañas de secuestro de DNS más famosas tuvo lugar a fines de 2018, cuando una gran campaña de secuestro de DNS denominada DNSpionage fue descubierta e informada por Cisco Talos. Los atacantes estaban robando credenciales de los empleados del gobierno y del sector privado en Medio Oriente y África del Norte al secuestrar sus servidores DNS.

Krebs on Security realizó una investigación exhaustiva sobre el caso, llegando a compartir cómo se utilizó la API de DNS pasivo de SecurityTrails para identificar los cambios en los registros DNS de dominios vinculados a la campaña.

Tipos

Los ataques de secuestro de DNS se agrupan en estos cuatro tipos:

  • Secuestro de DNS local: En este tipo de secuestro de DNS, los atacantes instalan malware troyano en tu ordenador y cambian tu configuración de DNS local para redirigir tu tráfico a sitios web maliciosos.
  • Secuestro de DNS de enrutador: Este ataque considera piratear los enrutadores DNS, cambiar la configuración y afectar a todos los usuarios conectados a ese enrutador.
  • Rouge DNS Hijack: Después de que un servidor DNS es pirateado, los registros DNS pueden cambiarse para que el usuario dirija todo el tráfico a un sitio web malicioso.
  • Hombre en el medio DNS Hijack: Aquí, el atacante intercepta la comunicación entre el usuario y el servidor DNS, y ofrece una dirección IP falsa que redirigirá al usuario a un sitio web malicioso.

Cómo detectar un secuestro de DNS

Las señales más comunes de secuestro de DNS son:

  • páginas web que se cargan lentamente,
  • anuncios emergentes frecuentes en sitios web donde normalmente no hay ninguno, y
  • ventanas emergentes que te dicen que tu ordenador ha sido infectado con malware.

Si bien estos pueden ser indicadores comunes de un ataque, no podemos identificar el secuestro de DNS con certeza basada únicamente en ellos. Afortunadamente, hay varias herramientas en línea que puede usar para determinar si ha sido atacado, o puede usar la terminal de su sistema operativo para diagnosticarlo:

Usando el comando ping

La forma más fácil y efectiva de descubrir el secuestro de DNS es hacer ping a un dominio no existente utilizando la utilidad ping directamente desde tu terminal.

Si los resultados confirman que la IP no existe, sabrás que no has sido secuestrado por DNS. Por el contrario, si el resultado se resuelve, existe una gran posibilidad de que seas víctima del secuestro de DNS.

Verificador de enrutador

El malware puede infectar tu enrutador, dando a los atacantes acceso a la página de administración del enrutador y permitiéndoles cambiar su configuración de DNS para usar servidores maliciosos. Cuando esto suceda, serás redirigido automáticamente a los sitios web de los atacantes.

Para verificar si tu enrutador ha sido infectado, el primer paso es verificar su configuración de DNS, pero hay una gran herramienta en línea que puede hacer esto por ti.

Router Checker de F-Secure labs es una herramienta que verifica si tu enrutador está conectado a su dispositivo de resolución de DNS y si está utilizando un servidor DNS legítimo y autorizado. Es realmente fácil de usar:

Cuando vayas al sitio web, simplemente haz clic en el botón Router Checker que te llevará a una nueva página, y desde allí simplemente vete a «Verificar su enrutador». En unos segundos, recibirás una respuesta que te informará si tienes algún problema con tu enrutador y si pudo haber sido secuestrado por atacantes.

WhoIsMyDNS.com

WhoIsMyDNS es otra gran herramienta en línea que te ayuda a exponer el servidor real que realiza solicitudes de DNS desde tu dispositivo en tu nombre. Si no reconoces el DNS que muestra, es posible que hayas sufrido un ataque de secuestro de DNS.

Cómo protegerse contra el secuestro de DNS

Existen ciertos pasos básicos que todos podemos seguir para una mayor protección frente al secuestro de DNS o de cualquier tipo de ataque de DNS:

  • Evita hacer clic en sitios web o enlaces que parezcan sospechosos, ya sea en tus correos electrónicos o en las redes sociales
  • Inspecciona la URL y asegúrate de que pertenece a un sitio web legítimo.
  • Evita el uso de redes públicas de Wi-Fi; casi nunca están encriptadas para que cualquiera pueda ver tu tráfico DNS si así lo desean.

Esos consejos no requieren ninguna habilidad técnica especial para implementarse. Esto es lo que puedes hacer para mantenerte seguro en Internet y evitar el secuestro de DNS.

Implementar DNSSEC

La implementación de DNSSEC, o la Extensión de seguridad del sistema de nombres de dominio, es un paso crítico para protegerte contra el secuestro de DNS. Es una de las mejores tecnologías disponibles que te garantizarán un alto nivel de seguridad de DNS.

DNSSEC corrige el problema de los datos sin cifrar para registros DNS mediante la autenticación del origen de esos datos. Esto ayuda al solucionador de DNS a saber que los datos que está recibiendo son de un origen legítimo y que no han sido manipulados por actores maliciosos.

Desafortunadamente, implementar DNSSEC no es tan simple como desearíamos que fuera. Muchos registradores simplemente no tienen habilitada la tecnología necesaria en su infraestructura de nombres de dominio y en el servidor DNS, y si lo hacen, no todos admiten todos los TLD, por lo que puede tener opciones limitadas cuando busques un registrador que habilite DNSSEC.

Siempre sugerimos ir a Cloudflare ya que tienen un proceso de activación fácil para habilitar DNSSEC.

Eligir un servidor DNS más seguro

Cambiar su servidor DNS es una buena manera de protegerse contra el secuestro de DNS. Por defecto, tus consultas DNS se conectarán a los servidores DNS de sus ISP. Los servicios proporcionados por su ISP realmente no mantienen a alguien seguro mientras navega por Internet.

Afortunadamente, hay muchas opciones para elegir. CloudflareDNS y OpenDNS son algunos de los más famosos, pero también hay otros geniales. Algunos ofrecen un mayor nivel de seguridad en línea que otros y muchos son gratuitos.

Si no puedes elegir un proveedor de servicios DNS, más abajo puedes consultar una lista de los 5 mejores servidores DNS para mejorar tu seguridad y experiencia de navegación.

Asegúrarse de que el enrutador sea seguro

Asegurar tu enrutador es uno de los principales pasos para garantizar que no sea objeto de ataques de secuestro de DNS.

Puedes comenzar cambiando el nombre de usuario y la contraseña predeterminados, ya que siempre son del tipo de administrador genérico. Incluso un atacante sin experiencia puede adivinarlo y obtener acceso a tu enrutador. Además, mantener actualizado el firmware del enrutador garantizará su seguridad frente a las últimas vulnerabilidades.

Usar un servicio VPN

Si alguna vez has escuchado algo sobre la seguridad de DNS, VPN siempre se ha asociado con ella. El uso de un servicio VPN, o redes privadas virtuales, se asocia principalmente con la ocultación de tu dirección IP para que puedas acceder al contenido que generalmente está restringido (a menudo por ubicación geográfica), pero sus beneficios se extienden mucho más allá de eso.

Al conectarte a un servidor VPN, se crea un túnel encriptado entre tu ordenador e Internet. Esto permite que la información se comparta entre dos partes privadas y la protege del robo por parte de actores maliciosos.

Estos pasos para protegerte del secuestro de DNS también son importantes para tu seguridad general en línea y alentamos a todos a probarlos.

Por supuesto, hay más formas en que puedes asegurarte de que no serás secuestrado por DNS, como:

  • Restringir el acceso a tu servidor de nombres
  • Restricción de transferencias de zona
  • Usando un fuerte software anti-malware
  • Usando bloqueadores de script en tu navegador
  • Siempre parcheando vulnerabilidades desconocidas en tu servidor
  • Colocando solucionadores DNS legítimos detrás de un firewall

Los mejores servidores DNS para mejorar la privacidad y seguridad en línea

Los ISP (proveedores de servicios de Internet) generalmente ofrecen servicios DNS a sus clientes, por lo que cuando no configuras servidores DNS en tu ordenador o enrutador, tus consultas DNS se ejecutarán en los servidores DNS de tus ISP.

El uso de los servidores DNS ISP predeterminados puede ocasionar ciertos problemas mientras navegas por Internet:

  • Seguridad disminuida
  • Privacidad disminuida
  • Velocidad disminuida
  • Incapacidad para cargar sitios web
  • Otros errores de DNS

Pueden suceder problemas con las solicitudes DNS mismas; la mayoría de las veces no están encriptados y esto deja espacio para diferentes tipos de ataques DNS.

Hemos ofrecido consejos para prevenir ataques de DNS , y ahora discutiremos los mejores servidores de DNS disponibles, para que puedas entrar en 2020 con una mejor higiene cibernética.

Cambiar tus servidores DNS siempre es una buena idea, ya que:

  • Mejora la velocidad de Internet y el tiempo de carga de la página.
  • Estabiliza tu conexión
  • Proporciona mayor seguridad y privacidad en línea.
  • Elimina restricciones geográficas

Aquí tienes una lista de los 5 mejores servidores DNS principales.

1. OpenNIC

OpenNIC es un servidor DNS gratuito que conduce tu tráfico lejos de los servidores DNS ofrecidos por tu ISP. Una característica única de OpenNIC es que, dependiendo de tu ubicación, te ofrece diferentes servidores.

Otra cosa que diferencia a OpenNIC de los demás es que no es un servidor DNS público per se. Es un grupo de voluntarios que administran una red DNS alternativa.

OpenNIC ofrece neutralidad de DNS, pero también tiene derecho a elegir la cantidad de datos que registra OpenNIC.

Uno de los problemas de privacidad que pueden tener algunos usuarios es que debido a que todo está dirigido por un grupo de voluntarios, y no es tan difícil configurar un servidor de Nivel 2 en OpenNIC, cualquiera puede ver los datos de registro. Además, algunos usuarios han informado que la velocidad de los servidores OpenNIC no siempre está a la par.

2. DNS de Cloudflare

Cloudflare DNS podría ser el más popular de los servicios de Internet con su red de entrega de contenido, y ahora con su servicio de DNS público.

Ahora, estamos hablando de mejorar tu seguridad en línea, por lo que Cloudflare DNS, un servicio de difusión ilimitada que no cuenta con anti-phishing, seguridad mejorada o ningún filtro de contenido, no estaría en la lista si no fuera por unos pocos aspectos en los que sobresale.

Cloudflare no controlará lo que puedes o no visitar mientras estás en línea, pero tu privacidad es la número uno aquí. No registran tu tráfico DNS y no guarda tu dirección IP. Todo lo registrado por Cloudflare se elimina en 24 horas. En aras de la transparencia, Cloudflare contrata a KPMG para auditar su sistema y mostrar en informes públicos que se están cumpliendo todas las promesas de privacidad para sus usuarios.

¡Sin mencionar que Cloudflare tiene los servidores DNS públicos más rápidos de todos!

Entonces, los beneficios de usar Cloudflare son:

  • Sin registrar el tráfico DNS, sin guardar su IP: la privacidad primero
  • Velocidad: el más rápido de todos los proveedores de DNS
  • Soporte de foro comunitario
  • Configuración fácil

Además de su falta de medidas de protección y seguridad, otra estafa de Cloudflare es bastante irónica: están dedicados a la privacidad de los usuarios, pero los datos de consulta DNS se comparten con APNIC Labs.

3. OpenDNS

Fundada en 2005 y propiedad de Cisco desde 2016, OpenDNS es un servicio gratuito, público y basado en la nube que proporciona servidores DNS. Es uno de los más populares.

OpenDNS es una gran opción para protegerse de los atacantes maliciosos. Para conectarse con su servidor DNS más cercano y para tiempos de carga de página más rápidos, utiliza el enrutamiento anycast.

Otros beneficios de usar OpenDNS son:

  • Alta velocidad
  • 100% de tiempo de actividad
  • Los sitios de phishing están bloqueados
  • Filtrado web para bloquear contenido para adultos: opcional
  • Soporte de correo electrónico
  • Historial de tu actividad en Internet durante los últimos 12 meses.
  • Acceso solo a sitios web específicos
  • Configuración fácil

OpenDNS ofrece tres soluciones en su paquete Home, dos de las cuales son gratuitas: OpenDNS Family Shield y OpenDNS Home. Ambos son similares a la solución de pago. Están equipados con las mismas características, excepto el historial de actividad de Internet y las diferencias en el acceso a sitios web específicos.

En Family Shield se incluye por defecto una protección parental. Sin embargo, en Home es necesario configurarlo para bloquear contenido para adultos.

La solución OpenDNS VIP Home cuesta unos 20 euros al año y, junto con las características estándar incluidas en las soluciones gratuitas, ofrece estadísticas detalladas de uso de Internet durante el año pasado y restricciones en el acceso a Internet a dominios específicos de la lista blanca.

Además del paquete Home, OpenDNS tiene una solución comercial donde ofrece protección para 3 dispositivos por persona, para 1-5 usuarios.

La configuración es muy sencilla: lo único que debes hacer es reconfigurar tu dispositivo para utilizar los servidores de nombres OpenDNS. También puedes leer su guía de configuración para configurar cualquier clase de dispositivos.

Como con todo, OpenDNS tiene sus desventajas.

OpenDNS almacena la información sobre tu DNS y dirección IP, y se analiza el contenido web que visitas mientras usas sus servidores para que pueda determinar qué contenido prefieres.

4. DNSWatch

DNSWatch es otro proveedor de DNS muy popular que es gratuito para todos y no ofrece ningún paquete pago como otros proveedores.

Este servidor DNS también demostró ser muy popular, y por una buena razón. Ofrece neutralidad de DNS, al igual que OpenNIC, lo que significa que no censura ningún contenido. La privacidad también es un factor importante y no registra ninguna consulta DNS ni registra su historial.

Entonces, los principales beneficios de DNSWatch son:

  • Servicio gratuito para todos
  • Sin contenido restringido
  • Sin registro de ninguna consulta DNS

Ahora, dado que son un proveedor centrado en la privacidad y una pequeña empresa que no ofrece ningún análisis de inteligencia de seguridad, deberá abordar cualquier protección contra phishing, malware o ataques. Al final, de alguna manera se trata de elegir entre un Internet más abierto sin contenido restringido o una navegación más segura.

5. DNS Quad9

Quad9 DNS ha estado activo desde 2016, y desde entonces se ha ganado su estatus como uno de los mejores proveedores de DNS, por la seguridad y velocidad que ofrece a sus usuarios.

Aquí tendrás todos los dominios maliciosos y sospechosos bloqueados para garantizar tu seguridad. Quad9 incluso utiliza inteligencia de seguridad de 19 compañías, una de las cuales es X-Force de IBM.

Además, el rendimiento fundamental de Quad9 es sorprendente, con una velocidad justo por debajo de la de Cloudflare (que es la más rápida) pero aún mayor que sus competidores, aunque algunos usuarios en ubicaciones particulares pueden experimentar velocidades más lentas.

Quad9 se compromete a mantener la privacidad de los usuarios, pero mantienen registros de alguna actividad, que han resaltado:

  • Ubicación general (a nivel metropolitano)
  • Marcas de tiempo
  • Geolocalización
  • Nombre de dominio solicitado y su geolocalización
  • Tipo de registro
  • Protocolo de transporte y su estado de cifrado
  • Código de respuesta
  • Otros (como sus máquinas que procesaron la solicitud, etc.)

Conclusión

El secuestro de DNS es algo que resurge cada pocos años después de casi estar en peligro de extinción. Los atacantes siempre encontrarán nuevas formas de comprometer tus datos y acceder a tu red y dispositivos. Lo que podemos hacer es aprender de los casos publicitados de secuestro de DNS y no permitirnos ser víctimas de actores maliciosos.

Practicar una buena higiene cibernética no solo es importante para evitar el secuestro de DNS u otras formas de ataques de DNS, es una forma de hacer que Internet sea más seguro y que nuestra experiencia en línea sea más cómoda.

Siguiendo los consejos que te hemos mostrado aquí, ahora no solo puedes detectar si has sido víctima de un ataque de secuestro de DNS, sino que también puedes implementar las medidas de seguridad adecuadas para evitar serlo.